ZA Central Registry logo

co.za域名管理
网站使用条款 | ISPA行为准则 | 企业社会投资

结束 2020年停业

注意到 价格上涨 from 1 January 2021

Covid-19通知。

替代性争议解决(ADR) 信息.

域名注册
注册信息
相关服务
首页 | 办公地点 | 银行明细/付款 | 联系方式
CO.ZA注册胶水漏洞
2005年6月3日至7月21日
概述:

UniForum SA被告知存在潜在的“攻击”,从而第三方可以使用CO.ZA注册系统插入恶意和/或未授权的A记录 (1) into the CO.ZA zone.

详细说明:

可以通过查看 http://whois.p5lm0w.cn/cgi-bin/whois.sh?Domain=fortesting 注册详细信息。

通过设置要在第三方服务器上注册的域的记录,并将该域的NS记录设置为 www.radian.co.zawww.futureperfect.co.za,CO.ZA注册过程允许将未经授权或恶意的A记录插入CO.ZA区域。 radian.co.za和futureperfect.co.za的注册者无法控制这些记录,也不知道它们的存在,并且可能不希望这些A记录存在于CO.ZA区域文件中。

影响:

除了上述实例和其他意外利用之外,UniForum SA还没有意识到正在积极利用此攻击。

胶水A记录不应该持久存在,并且据我们所知,不正确的解析程序实现并不普遍,这缓解了这种攻击的严重性。 因此,由于这种利用,最终用户极不可能被重定向到错误的dns地址,但是存在这种情况的可能性。

对于遭受这种攻击的注册人来说,拒绝服务的含义是,他们将难以进一步更改或删除有关的A记录。

当时,针对南非银行的网络钓鱼攻击备受瞩目,并且人们对这种攻击可能导致的看法也被认为是对这一事件作出反应的方式。

从UniForum SA意识到攻击开始到实施修补程序为止,一直在监视CO.ZA系统的这种攻击。对开发人员的直接反应是暂时中止新的注册和更新,并缩短对可能的修复程序影响的测试和分析。幸运的是,这不是必需的。

解:

问题被归结为“我们何时需要相信注册表上提供给我们的信息以及我们如何确定其准确性?”。 问题第一部分的答案是多方面的,基本上可以归结为:添加胶水A记录时 (1) (并且只为位于CO.ZA区域中的名称服务器添加胶水)需要检查提供的数据。当胶水在要注册的区域中时,这些检查可能不会那么严格,因为似乎不太可能有人对自己发起攻击。需要特别注意在注册区域之外的A记录。

查看从1034开始的RFC,在5.2.1中,我们得到:

  • 2.主机地址到主机名的转换

    此功能通常会遵循以前的形式 功能。给定32位IP地址,呼叫者需要一个 字符串。 IP地址的八位字节相反 用作名称组件,后缀“ IN-ADDR.ARPA”。一个 类型PTR查询用于获取具有以下主要名称的RR: 主人。例如,请求主机名 对应于IP地址1.2.3.4的PTR RR查找 域名“ 4.3.2.1.IN-ADDR.ARPA”。

RFC 1912,我们得到:

  • 2.1数据不一致,丢失或错误

    每个可访问Internet的主机都应有一个名称。后果 这正变得越来越明显。提供许多服务 如果您操作不正确,互联网上的人将不会与您交谈 在DNS中注册。

    确保您的PTR和A记录匹配。对于每个IP地址, 应该是in-addr.arpa域中的匹配PTR记录。如果一个 主机是多宿主的(多个IP地址),请确保所有IP 地址具有对应的PTR记录(而不仅仅是第一个)。 缺少匹配的PTR和A记录可能会导致Internet丢失 与根本没有在DNS中注册类似的服务。也, PTR记录必须指向有效的A记录,而不是别名 由CNAME提供。强烈建议您使用某些软件 可以自动执行此检查,或从 自动创建一致数据的数据库。
第2.3节还提供了有关胶水处理的更多信息:

如果您的名称服务器是多宿主的(具有多个IP地址),则您 必须在胶水中列出其所有地址,以避免缓存 由于TTL值不同而导致不一致,从而导致某些查询 找不到您的域名服务器的所有地址。

RFC 2181提供了最终的说明:

  • 10.2. PTR records

    关于规范名称的混淆导致人们相信PTR 记录的RRSet中应该恰好有一个RR。这是不对的 RFC1034的相关部分(第3.6.2节)指出 PTR记录的值应为规范名称。也就是说,应该 不是别名。该部分没有任何暗示,只有 一个名称允许一个PTR记录。没有这样的限制 be inferred.
关于当前如何进行CO.ZA注册过程。

对于应用程序表单第6部分中的每个名称服务器对,以下流程图概述了系统当前检查的方式。

流程图

一些澄清:

根据RFC 1912,在注册过程中没有什么可以阻止您为IP地址拥有多个PTR RR记录或为A记录拥有多个IP地址。但是,如果您决定要为一个域名服务器设置许多PTR记录,则确实存在超过答复的UDP数据包大小的风险-这将意味着DNS答复在收到截断的UDP数据包后将切换为TCP。

对于引导问题,向前检查(A记录)不会扩展到当前正在注册或更新的区域中的粘胶。


1胶水:

UniForum SA认为,目前正在将多余的胶水插入co.za区域,并将继续进行 分析其效果。我们将发布此内容以供讨论 Internet dot org dot za上的技术列表, 我们认为,严格的辩论将确保采取正确的政策。